none
Restringiendo el acceso a Internet RRS feed

  • Pregunta

  • Saludos amigos,

    Tengo una red bajo Windows 2003, con 50 estaciones de trabajo en la actualidad todas las estaciones tienen salida a internet, sin embargo es necesario hacer un seccionamiento de manera que solo un grupo de maquinas tenga acceso a Internet y otro grupo no.

    En este sentido y considerando que el acceso a Internet lo tengo a traves de Router y no dispongo de ningun proxy, pienso que la mejor forma de hacer esto sería asignado direcciones fijas a las maquinas que van a tener acceso y configuro en el router cuales son las maquinas que pueden salir y todas las demas quedan excluidas.

    Otra forma que pense fue establecer un rango de IP para las que van a tener acceso y un rango para las que no, la cuestión sería como indicarle al DHCP de que grupo va a asignar la IP.

    Cual consideran ustedes que es la mejor manera de hacer este trabajo?

    Gracias mil por cualquier sugerencia.

    jueves, 29 de abril de 2010 20:30

Respuestas

  • Estando en el GPMC, abres la carpeta Group Policy Objects, y seleccionas sobre la izquierda la GPO en cuestión.

    Sobre la derecha, quitas al grupo Usuarios Autentificados, y botón Avanzadas, agregas el grupo global que quieras, y le das permisos de Read y Apply Group Policy

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de abril de 2010 18:50
    Moderador
  • Resultados:

    La nueva politica fue aplicada satisfactoriamente .

    Resumiendo, indico lo que hice:

    1.- Hacer un backup del SDS.

    2.- Cree un grupo global de seguridad denominado NOINTERNET

    3.- Cree una GPO donde configuré un proxy falso y deshabilite el acceso a la ventana o tab de conexiones del IE.

    4.- Agregar a la GPO la prohibición de ejecución de los navegadores como FireFox, Opera y Chrome.

    5.- Asociar o autorizar la GPO solo al grupo NOINTERNET

    6.- Hacer a los usuarios que no esten autorizados a usar internet integrantes del grupo NOINTERNET.

    7.- Enlazar la GPO con la UO principal para que esta se aplique sobre todas las UO que esten por dejabo de la principal (segun mi caso particular).

    Y con eso terminamos.

    Espero le sirva a alguien.

    Gracias por el apoyo.

    • Editado A.Dumith viernes, 30 de abril de 2010 20:36 solución
    • Marcado como respuesta A.Dumith viernes, 30 de abril de 2010 20:36
    viernes, 30 de abril de 2010 20:11

Todas las respuestas

  • También podrías establecer  una clase de usuario en el servidor DHCP, de manera que sólo esa clase tuviese configurada la puerta de enlace y el ámbito en sí no la tuviera configurada. Para poder tener salida a internet, el equipo debería ser agregado a esa clase de usuario de forma específica:

    Understanding user and vendor classes
    http://technet.microsoft.com/en-us/library/cc737299%28WS.10%29.aspx

    Using option classes
    http://technet.microsoft.com/en-us/library/cc775694%28WS.10%29.aspx

    Create a new user or vendor class
    http://technet.microsoft.com/en-us/library/cc776439%28WS.10%29.aspx

    Set DHCP class ID information at a client computer
    http://technet.microsoft.com/en-us/library/cc783756%28WS.10%29.aspx

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 30 de abril de 2010 6:54
    Moderador
  • Otra opción. Si no hay proxy las máquinas salen a Internet, porque redirigen el tráfico externo al router a través de la configuración de la puerta de enlace.

    Que las máquinas que no deben salir a Internet no tengan configurada Puerta de Enlace (Default Gateway)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de abril de 2010 12:39
    Moderador
  • Mil gracias por la ayuda;

    El asunto es que si lo hago a nivel de maquina entonces los usuarios que no tendrán autorización a usar Internet utilizaran las maquinas de otros usuarios que si tienen salida; en este sentido lo mejor sería aplicar la politica a nivel de usuario; en función de esto se me ocurrio crear una GPO para configurar un proxy fictisio pero el problema que veo con esto es que la GPO tengo que asociarla a una UO y no todos los usuarios de una UO tienen restrigindo el acceso.

    Que les parece?

    Que sugieren?

     

    viernes, 30 de abril de 2010 15:29
  • Es que la forma correcta es controlar el acceso a Internet en el cortafuegos. Esa es la verdadera opción :-)

    No recuerdo si puedes poner proxy por usuario, o sólo por máquina, te toca revisar a tí. Pero si es por restringir a qué usuarios se le aplica la GPO no tienes problemas.

    Primero, una GPO puede estar asociada (linkeada) a varias OUs, eso no es problema

    Segundo, puedes aplicar la GPO bien en lo alto del árbol, y filtrar la aplicación de la GPO por grupo

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de abril de 2010 17:48
    Moderador
  • Segundo, puedes aplicar la GPO bien en lo alto del árbol, y filtrar la aplicación de la GPO por grupo


    Ya tengo la GPO lista la cual tiene definido un proxy falso y desactive la ventana de conexiones del IE para que no puedan cambiar el proxy; tambien cree un Grupo de Seguridad Global llamado NoInternet el cual lo asociaré a lo usuarios que no tendran el servio, ahora la pregunta es como hago para que la GPO se aplique solo para aquellos usuarios que son miembros del grupo NoInternet?

     

    Gracias.

    • Editado A.Dumith viernes, 30 de abril de 2010 18:41 mejor explicación.
    viernes, 30 de abril de 2010 18:06
  • Estando en el GPMC, abres la carpeta Group Policy Objects, y seleccionas sobre la izquierda la GPO en cuestión.

    Sobre la derecha, quitas al grupo Usuarios Autentificados, y botón Avanzadas, agregas el grupo global que quieras, y le das permisos de Read y Apply Group Policy

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 30 de abril de 2010 18:50
    Moderador
  •  

    Listo; aunque logre quitar al Grupo Usuarios Autenticados, no vi la opción de avanzada sin embargo oprimi el botón Add y agrege el nuevo Grupo; en todo caso me falto los permisos.

    La GPO tiene la siguiente configuración:

    Enable proxy settings
    Protocol     Server                Port
    HTTP         192.168.1.190      80
    Secure      192.168.1.190      80
    FTP           192.168.1.190      80
    Gopher     192.168.1.190      80
    Socks       192.168.1.190      80
    Exceptions:     Do not use proxy server for addresses beginning with    
    Do not use proxy server for local (intranet) addresses     Enabled

    Administrative Templateshide
    Windows Components/Internet Explorer/Internet Control Panelhide
    Policy     Setting
    Disable the Connections page     Enabled

    La GPO la asocie a la UO Principal dentro de la cual existen otra OU que tienen los usuarios, es decir, que en vez de hacerle el enlace a cada sub UO lo hice de la principal. Te parece que esta bien?

    En el tab Delegation, estan los siguientes Grupos: Domain Admin / Enterprice Admin / Enterprice Dom Contr. / GGNoInternet y System. Debe quedar así?

    No tengo claro donde le doy los permisos de Read y Apply.

     

       
       
    • Editado A.Dumith viernes, 30 de abril de 2010 19:42 explicasión
    viernes, 30 de abril de 2010 19:07
  • Resultados:

    La nueva politica fue aplicada satisfactoriamente .

    Resumiendo, indico lo que hice:

    1.- Hacer un backup del SDS.

    2.- Cree un grupo global de seguridad denominado NOINTERNET

    3.- Cree una GPO donde configuré un proxy falso y deshabilite el acceso a la ventana o tab de conexiones del IE.

    4.- Agregar a la GPO la prohibición de ejecución de los navegadores como FireFox, Opera y Chrome.

    5.- Asociar o autorizar la GPO solo al grupo NOINTERNET

    6.- Hacer a los usuarios que no esten autorizados a usar internet integrantes del grupo NOINTERNET.

    7.- Enlazar la GPO con la UO principal para que esta se aplique sobre todas las UO que esten por dejabo de la principal (segun mi caso particular).

    Y con eso terminamos.

    Espero le sirva a alguien.

    Gracias por el apoyo.

    • Editado A.Dumith viernes, 30 de abril de 2010 20:36 solución
    • Marcado como respuesta A.Dumith viernes, 30 de abril de 2010 20:36
    viernes, 30 de abril de 2010 20:11